FIN7 对 Veeam 备份服务器进行攻击

• netstat ：显示所有活动的TCP连接和侦听端口

• 任务列表：显示所有正在运行的进程

• ipconfig ：显示所有 IP 配置

libcurl.dll由 gup.exe 旁加载，是一个简单的 .NET 加载器，用于解码并执行已进行异或处理的磁盘有效负载。磁盘上的有效负载文件名以及 XOR 密钥在加载程序中进行硬编码。这种独特的装载机以前在FIN7的攻击武器库中从未见过，我们现在将其作为DUBLOADER进行跟踪。

值得注意的是，GUP使用的合法libcurl.dll.exe是本机链接库文件，而威胁参与者使用的恶意变体是.NET DLL文件。精心制作的加载程序旨在通过包含合法版本中找到的导出函数名称来模仿合法的 libcurl.dll 文件，从而由 GUP 可执行文件导入。只有一个导出函数，即“curl_easy_init”包含恶意代码。所有其他导出函数都通过“retn 0”指令轻松实现。实现恶意代码的“curl_easy_init”导出函数是 GUP 可执行文件调用的库中的第一个函数。因此，恶意代码在启动 GUP.exe 时立即执行。

图 11：DUBLOADER 导出函数

横向移动

威胁执行组件执行了一系列远程 WMI 方法调用以及“网络共享”命令，以测试具有泄露凭据的目标主机上的横向移动。发出这些命令几个小时后，威胁参与者返回以执行成功的横向移动。

横向工具转移是通过使用 SMB 将两个 PowerShell 脚本放入远程主机的 ADMIN$ 共享来实现的。通过远程服务创建实现执行。

威胁参与者启动了自定义 PowerShell 脚本（如上所述）来收集有关目标主机的信息。随后执行了另一个PowerShell脚本，这是另一个POWERTRASH示例。此脚本对“PlugPlay”服务执行远程注入，该服务与端口 443 上的远程主机建立了网络连接。虽然我们无法获取辅助脚本的全部内容来确定所使用的确切有效载荷，但我们认为有效载荷可能是另一个后门/命令和控制代理（即CobaltStrike信标）。命令行模式以前在 FIN7 执行的横向移动中可见。

值得注意的是，一个名为“445.ps1”的附加文件被删除并在受感染的 Veeam 备份服务器上执行，但无法检索文件内容进行分析。但是，根据文件名，其用途可能是横向移动。

展望和影响

到目前为止，WithSecure Intelligence已经确定了FIN7进行的两次此类攻击。由于两个实例的初始活动是在同一天从同一公共 IP 地址发起的，因此这些事件很可能是更大活动的一部分。但是，鉴于公开暴露 TCP 端口 9401 的 Veeam 备份服务器可能很少见，我们认为此次攻击的范围有限。

尽管如此，我们建议受影响的公司遵循建议和指南，按照 KB4424：CVE-2023-27532[1] 中所述正确修补和配置其备份服务器。本报告中的信息以及我们的国际奥委会GitHub存储库也可以帮助组织寻找妥协的迹象。

在撰写本文时，这些攻击的目标尚不清楚，因为它们在完全实现之前就得到了缓解。然而，这项研究为未来的研究提供了关于FIN7及其贸易工艺的额外线索。

WithSecure™ Elements 端点检测和响应以及WithSecure™ Countercept 检测和响应可检测攻击生命周期的多个阶段。这些将生成具有详细检测的事件。

WithSecure™ Elements 端点保护提供多种检测，可检测恶意软件及其行为。确保已启用实时防护和深度防护。您可以在端点上运行完全扫描。

事件的时间线细分

原文地址：https://labs.withsecure.com/publications/fin7-target-veeam-servers